Gruppenrichtlinien: Modellierung und Ergebnisse

22.05.2007 von Martin Kuppinger

Wenn man den Überblick über Gruppenrichtlinien zu verlieren droht, helfen die Funktionen für die Modellierung und die Analyse der „Ergebnisse“, zu denen die Gruppenrichtlinien führen. Dafür gibt es spezielle Werkzeuge, die relativ einfach anzuwenden sind.

Wenn man mit mehreren Gruppenrichtlinien arbeitet und sich nicht auf die Steuerung von Standardeinstellungen mit Richtlinien wie Default Domain Policy und Default Domain Controllers Policy beschränkt, kommt man vielleicht auch an den Punkt, an dem nicht mehr genau nachvollziehbar ist, welche Richtlinie sich wie auswirkt. Das gilt insbesondere, wenn man nicht mit sauberen, konsequent umgesetzten Konzepten für die Implementierung von Gruppenrichtlinien arbeitet.

Mit den Analysefunktionen für Gruppenrichtlinien muss man sich aber auch beschäftigen, wenn es zu Fehlern oder einem unerwarteten Verhalten bei der Verarbeitung von Gruppenrichtlinien auf dem Client kommt. Die Ursachen dafür können vielfältig sein. So werden Gruppenrichtlinien bei langsamen Netzwerkverbindungen nur teilweise geladen. Sie können ihre Ursache aber auch darin haben, dass sich Gruppenrichtlinien anders auswirken als man erwartet hat, weil man beispielsweise die Vererbungskonzepte falsch interpretiert hat.

Mit dem Assistenten für die Gruppenrichtlinienmodellierung lassen sich die Auswirkungen von Änderungen an Gruppenrichtlinien im Vorfeld analysieren. Um dagegen zu erkennen, wie verschiedene Richtlinien zusammenwirken, ist der Assistent für die Gruppenrichtlinienergebnisse das richtige Werkzeug.

Basisinformationen

Bevor man diese Werkzeuge nutzt, kann man aber schon einiges an Informationen über andere, einfachere Schnittstellen ermitteln. Der einfachste Ansatz ist das Register Einstellungen bei den einzelnen GPOs. Die GPOs finden sich im Ordner Gruppenrichtlinienobjekte.

Übersichtlich: Im Register Einstellungen werden nur die Parameter in einer Gruppenrichtlinie angezeigt, die explizit modifiziert wurden.

Über die Links wie Ausblenden und Einblenden kann man sich Teile der Informationen anzeigen lassen. Generell ist diese Darstellung aber schon deshalb übersichtlicher, weil eben nicht die ganzen Tausende von Parametern in einer Gruppenrichtlinie angezeigt werden, sondern nur die, die explizit modifiziert wurden. Damit kann man einfach nachvollziehen, welche Einstellungen überhaupt in welcher Gruppenrichtlinie durchgeführt wurden.

Vererbung: Die Gruppenrichtlinien, aus denen Einstellungen geerbt werden, werden für jeden Container im Register Gruppenrichtlinienvererbung angezeigt.

Falls man dagegen wissen möchte, welche Richtlinien sich überhaupt auf einen Container auswirken, sollte man die Domäne oder die organisatorische Einheit in der Gruppenrichtlinienverwaltung (GPMC, Group Policy Management Console) auswählen. Dort wird eine Liste der GPOs angezeigt, die sich auf den aktuellen Container auswirken. Es kann sich um lokal zugewiesene oder auf einer übergeordneten Ebene festgelegte Richtlinien handeln. Der Speicherort wird jeweils angegeben. Auch die Rangfolge – nicht zu verwechseln mit der Reihenfolge der Verarbeitung – wird angezeigt. Auf diese Weise kann man einfach ermitteln, welche Richtlinien überhaupt zu beachten sind.

Die Modellierung

Bei der Modellierung kann man die Zuordnung von Richtlinien zu Benutzern und unter Einbezug weiterer Einstellungen wie den Festlegungen zur Sicherheit modellieren. Für die Modellierung muss im Kontextmenü des Knotens Gruppenrichtlinienmodellierung der entsprechende Assistent gestartet werden.

Der erste Schritt ist die Auswahl des Domänencontrollers. Das ist unter zwei Aspekten von Bedeutung. Zum einen erzeugt die Simulation etwas Last auf dem Domänencontroller. Zum anderen könnte es Situationen geben, in denen man ein Synchronisationsproblem zwischen Domänencontrollern vermutet oder kennt und die Auswirkungen dieses Problems erkennen möchte.

Assistiert: Die Simulation von Gruppenrichtlinien wird über den Gruppenrichtlinienmodellierungs-Assistenten durchgeführt. Dort können alle Parameter Schritt für Schritt ausgewählt werden.

Im nächsten Schritt erfolgt die Auswahl von Benutzern und Computern. Es können sowohl individuelle Benutzer und Computer als auch Container gewählt werden. Letzteres ist der Regelfall. Falls man allerdings mit speziellen Sicherheitseinstellungen für die Verarbeitung von Gruppenrichtlinien arbeitet, muss man gegebenenfalls die individuellen Benutzer und Computer auswählen.

Warum auch die Auswahl des Containers für den Computer wichtig ist, wird im nächsten Dialogfeld deutlich. Dort kann man die Option Loopbackverarbeitung auswählen. Wenn diese gewählt wird, überschreiben die Festlegungen zu den Computer-Richtlinien im Container des Computers die Einstellungen, die beim Benutzer vorgenommen wurden. Außerdem können eine langsame Netzwerkverbindung und die Zugehörigkeit zu einem bestimmten Standort modelliert werden.

Sicherheitsgruppen und weitere Einstellungen

Interessant ist der folgende Schritt beim Assistenten. Für den Benutzer können zusätzliche Sicherheitsgruppen angegeben oder entfernt werden. Damit kann man analysieren, wie sich die Zugehörigkeit zu solchen Gruppen auswirkt. Das ist immer dann sinnvoll, wenn man spezielle Sicherheitseinstellungen für die Verarbeitung der Gruppenrichtlinien konfiguriert hat.

Analoge Einstellungen gibt es auch für den Computer, der ja ebenfalls Mitglied von Sicherheitsgruppen sein kann. Allerdings werden Computer in der Praxis – trotz der daraus entstehenden Gestaltungsmöglichkeiten – selten in solchen Gruppen zusammengefasst.

Weitere Einstellungen betreffen die WMI-Filter für Benutzer und Computer. Mit solchen Filtern wird gesteuert, für welche Systeme Gruppenrichtlinien angewendet werden sollen und bei welchen eben nicht. Man kann damit beispielsweise Gruppenrichtlinien, über die auch die Softwareverteilung gesteuert wird, selektiv für Rechner mit ausreichender Hardware anwenden. Die Steuerung regelt in diesem Fall, ob die Benutzer- respektive Computerrichtlinien angewandt werden sollen.

Simuliert: Mit der Gruppenrichtlinienmodellierung lassen sich die Auswirkungen vieler Änderungen bei Gruppenrichtlinien einfach modellieren und zusammenfassen.

Die Einstellungen werden abschließend noch einmal angezeigt, bevor die eigentliche Simulation erfolgt. Die Ergebnisse der Simulation werden anschließend in ähnlicher Form wie die Einstellungen der einzelnen Gruppenrichtlinien dargestellt. Allerdings unterscheiden sich die Informationen. So finden sich hier nun im Register Zusammenfassung Details wie die Information zu den angewendeten Gruppenrichtlinienobjekten und den Auswirkungen von simulierten Sicherheitsgruppenmitgliedschaften. Die tatsächlich wirksamen Einstellungen in den Gruppenrichtlinien finden sich im Register Einstellungen.

Schon die konfigurierbaren Parameter für die Simulation zeigen aber auch die Grenzen des Konzepts deutlich auf. Man kann weder die Anwendung eines zusätzlichen GPOs auf einen Benutzer oder Computer noch die individuelle Anpassung einzelner Richtlinieneinstellungen simulieren.

Gruppenrichtlinienergebnisse

Auch für die Ermittlung der Gruppenrichtlinienergebnisse wird mit einem Assistent gearbeitet, der aus dem Kontextmenü des Knotens Gruppenrichtlinienergebnisse heraus aufgerufen werden kann.

Dort muss zunächst der Computer ausgewählt werden, für den die effektiv gültigen Gruppenrichtlinien ermittelt werden sollen. Man kann das für das lokale System, aber auch für einen beliebigen anderen, im Active Directory verwalteten Computer machen.

Optional kann man auch festlegen, dass die Analyse nur für die Benutzereinstellungen, nicht aber für die Computer-Richtlinien erfolgen soll. Damit kann man den Analyseaufwand verringern, was immer dann Sinn macht, wenn man ohnehin weiß, dass ein Problem im Bereich der Benutzer-Richtlinien besteht.

Der nächste Schritt ist die Auswahl des Benutzers. In der Regel wird man hier einen anderen Benutzer wählen, soweit man selbst mit einem Administratoren- oder Operatoren-Konto angemeldet ist. In diesem zweiten Dialogfeld kann man gegebenenfalls auch festlegen, dass man sich auf die Analyse der Computer-Richtlinien beschränken möchte. Damit liegen bereits alle Informationen vor, die über den Assistenten gesammelt werden.

Alles auf einen Blick: Mit der Analyse der Gruppenrichtlinienergebnisse kann man sich detailliert anzeigen lassen, welche Einstellungen für welchen Benutzer und Computer gelten und in welchen GPOs diese definiert sind.

Die Ergebnisse werden in einer ähnlichen Struktur wie bei der Gruppenrichtlinienmodellierung angezeigt. Wichtig sind gerade bei der Analyse der Ergebnisse aber die Einstellungen, die sich im gleichnamigen Register finden.

Es werden nur die Richtlinienparameter angezeigt, die verändert werden. Auch hier ist die Liste also meist relativ überschaubar. Wichtig ist dabei insbesondere die Information zum ausschlaggebenden Gruppenrichtlinienobjekt. Damit wird deutlich, welche Gruppenrichtlinie effektiv den Wert für einen bestimmten Parameter setzt.

Falls es sich dabei nicht um das GPO handelt, das man erwartet hätte, kann man mit den Informationen im Register Zusammenfassung zunächst noch einmal die wirksamen Gruppenrichtlinien betrachten. Damit und mit den Vererbungsinformationen bei einzelnen Containern lassen sich viele Fragen bereits beantworten. Falls das nicht ausreicht, muss man insbesondere die GPOs, die man eigentlich als maßgebend betrachtet hat, noch einmal genau analysieren um festzustellen, ob dort der Parameter überhaupt in der gewünschten Weise definiert ist.

Die Gruppenrichtlinienergebnisse können nicht alle Antworten auf Fragen rund um die Gruppenrichtlinien liefern. Sie sind aber zumindest die Basis, um in vielen Situationen schnell nachvollziehen zu können, welche Werte eigentlich durch welches GPO gesetzt werden.

Best Practices

Add-Ons zu Gruppenrichtlinien und weitere Tools